Zum Freitag vergangener Woche gab es in Sachen Cybersicherheit aus Berlin einen Knall: Das Bundesinnenministerium vermeldete, dass das nationale Attribuierungsverfahren der Bundesregierung zu den Cyberangriffen gegen die SPD-Parteizentrale sowie gegen deutsche Unternehmen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt und IT-Dienstleistungen ergab, dass diese der Gruppierung „APT 28“ zuzuordnen sind – und damit dem russischen Militärgeheimdienst.
APT 28 – oder auch „Fancy Bear“ – ist definitiv kein neuer Akteur in der internationalen Cyberbedrohungslandschaft und diese jüngsten Vorfälle belegen mehr als deutlich, dass Deutschland mit dem Russland-Ukraine-Krieg unumstritten im Visier von Cyberangreifern steht und es dabei nicht nur um die Beeinträchtigung von Kritischen Infrastrukturen geht, sondern auch Cyberspionage und nachrichtendienstliche Operationen eine erhebliche Rolle spielen, um Einrichtungen und Organisationen verdeckt über längere Zeiträume zu infiltrieren und sensible Informationen auszuleiten.
Richtigerweise stellte Bundesinnenministerin Nancy Faeser (SPD) fest, dass sich Deutschland keinesfalls vom russischen Regime einschüchtern lassen dürfe und die Cyberangriffe weit über eine bloße Gefährdung von IT-Systemen hinausgingen, sondern als schwerwiegender Eingriff in die demokratischen Strukturen des Landes zu werten sind.
Systematische Probleme
Schon ab Ende Dezember des Jahres 2022 verübte APT 28 einen Cyberangriff auf die SPD-Parteizentrale. Laut Information der Regierung handelt es sich bei diesem Angriff um einen Teil einer größer angelegten Kampagne, die seit mindestens März 2022 eine Schwachstelle im Microsoft-Windows-Client von Outlook ausnutzt. Schon 2023 wurde die US-Regierung das Opfer eines Hackerangriffs – dieses Mal jedoch aus der Volksrepublik China – bei der nach einem Angriff auf Microsoft E-Mail-Server unter anderem 60.000 E-Mails des US-Außenministeriums abgeschöpft werden konnten. Eine offizielle Untersuchung des von US-Präsident Biden eingesetzten Cyber Safety Review Board ergab vor Kurzem, dass Microsoft gravierende Fehler in der Sicherheitskultur vorzuwerfen seien.
Mehr noch: Fehlende Cybersicherheit sei bei Microsoft ein systematisches Problem, und der Konzern solle die Funktionsentwicklungen in seiner Cloud-Infrastruktur zurückstellen, bis wesentliche Sicherheitsverbesserungen vorgenommen seien. Schlussendlich bezog gar der ehemalige Cyber Policy Director des Weißen Hauses, AJ Grotto, sehr deutlich Stellung und bezeichnete in einem Interview Microsoft als Bedrohung für die nationale Sicherheit der USA.
Ist Microsoft nun auch ein Risiko für die deutsche Sicherheit?
Nach den aktuellen Ereignissen hierzulande stellt sich die Frage, ob wir diese These nicht auch für die jüngst bekannt gewordenen Vorgänge in Deutschland übernehmen können, denn Intensität und Ausmaß der russischen Cyberangriffe sind mit dem Vorgehen der chinesischen Angreifer durchaus vergleichbar.
Natürlich hat Microsoft recht, wenn das Unternehmen wie nach dem Vorfall in den USA einräumt, dass es keinen absoluten Schutz gegen Cyberangreifer gebe – gerade dann, wenn es sich um solche mit staatlichem Hintergrund und damit ganz erheblichen finanziellen und personellen Ressourcen handelt.
Nichtsdestotrotz stellte die US-amerikanische Untersuchungskommission in ihrem Abschlussbericht aber fest, dass der für den Cyberangriff auf US-Regierungseinrichtungen verwendete Schlüssel schon 2021 hätte deaktiviert werden müssen – und überdies überhaupt keinen Zugriff auf Daten des Außenministeriums hätten gewähren dürfen.
Unbegrenztes Vertrauen in die Cloud ist naiv
Damit stellt sich für die USA – und auch für deutsche Regierungseinrichtungen – eine ganz entscheidende Frage: Inwieweit darf man in Zukunft noch auf die Sicherheit von Cloud Computing vertrauen, wenn Anbieter zwar die Vertraulichkeit und Integrität der IT-Systeme zusichern, diese aber faktisch nicht einhalten können? Ende April kündigte das Land Niedersachsen in einer Pressemeldung noch an, „Vorreiter“ bei der Nutzung von Microsoft-Produkten in der Landesverwaltung werden zu wollen, indem man so weit wie möglich auf „IT aus der Steckdose“ setze.
Mit Verlaub ist die Naivität, die aus dieser Aussage spricht, gerade in diesen Zeiten kaum mehr nachvollziehbar, denn staatliche Einrichtungen haben nicht nur die Aufgabe, sondern verfassungsrechtlich gar die Pflicht, eine sichere IT-Infrastruktur im Sinne der Gewährleistungsverantwortung für alle Bürgerinnen und Bürger zu betreiben.
Wie dies sichergestellt werden soll, indem man im großen Stil „IT aus der Steckdose“ einkauft, ohne die vollständige Kontrolle über die IT-Ressourcen zu haben, geschweige denn diese vollständig zu kennen, ist und bleibt ein Rätsel.
Wir müssen endlich wieder die Kontrolle haben
Wenn damit eines ganz klar ist, dann das: Der Staat muss seine IT-Infrastruktur und damit auch die Kontrolle darüber endlich wieder selbst in die Hand nehmen, und kann eben nicht auf die Zusicherung und guten Worte von Konzernen vertrauen – seien sie auch noch so groß und mächtig.
Das kleine Land Schleswig-Holstein geht hier mit gutem Beispiel voran und will in Zukunft seine gesamte Verwaltungs-IT auf Open Source umstellen – mit deutlichen Vorteilen nicht nur für die Cybersicherheit, sondern auch für das eigene Budget, indem hohe Lizenzgebühren vermieden und die frei werdenden Gelder besser in die heimische IT-Wirtschaft investiert werden können – eben für mehr digitale Souveränität vor Ort. Der Bund, aber letzten Endes auch die politischen Parteien, täten gut daran, einen ähnlichen Weg einzuschlagen, denn dann klappt es in Zukunft auch besser mit der Cybersicherheit.
Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht, Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und des Advisory Boards des Anbieters für verschlüsselte Kommunikation NordVPN. Kipker ist zudem wissenschaftlicher Direktor des Cyberintelligence Institute in Frankfurt am Main.
In unserer Reihe Perspektiven kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Dennis-Kenji Kipker erschienen: Abwanderung von Schlüsseltechnologien - Besser späte als keine Einsicht?
